Nutzerinnen und Nutzer empfinden Entsperrmuster als komfortabel. Die sicherste Variante für die Displaysperre sind sie derzeit aber nicht. © RUB, Marquard

IT-Sicherheit Wie Android-Entsperrmuster sicherer werden könnten

Beliebte Entsperrmuster haben oft die Form von Buchstaben – und sind leicht zu erraten. Schlecht, wenn jemand das Handy verliert und es in falsche Hände gelangt.

Auf Android-Geräten können Nutzerinnen und Nutzer das Display durch die Eingabe eines Musters entsperren. Diese Funktion ist komfortabel und daher beliebt – allerdings unsicherer als die Sperre mit einer PIN. Ein internationales Forschungsteam empfiehlt daher, auf Android-Geräten eine Sperrliste zu implementieren, die die 100 beliebtesten und somit am leichtesten zu erratenden Muster verbietet. Wie genau diese gestaltet sein müsste, hat Philipp Markert vom Horst-Görtz-Institut (HGI) für IT-Sicherheit der Ruhr-Universität Bochum zusammen mit Kollegen von The George Washington University und der United States Navy untersucht.

Philipp Markert forscht in der Ar­beits­grup­pe Mo­bi­le Se­cu­ri­ty am Bochumer Horst-Görtz-Institut für IT-Sicherheit. © RUB, Marquard

Die Ergebnisse stellt das Team um Prof. Dr. Adam Aviv von The George Washington University auf dem USENIX Symposium on Usable Privacy and Security vor, das vom 8. bis 10. August als virtuelle Tagung stattfindet. Die Daten sind vorab als frei zugänglicher Preprint verfügbar.

Verschiedene Sperrlisten im Test

In der aktuellen Online-Studie testete das Forschungsteam, wie sich unterschiedlich lange Sperrlisten auf die Sicherheit und Nutzbarkeit auswirken. Sie ließen 1.006 Personen ein neues Entsperrmuster aussuchen. Ein Teil der Teilnehmenden konnte aus allen theoretisch denkbaren Möglichkeiten wählen (Kontrollgruppe); für die anderen fünf Gruppen waren gewisse Muster ausgeschlossen, wobei fünf unterschiedlich umfangreiche Sperrlisten zum Einsatz kamen. Wählte ein User ein gesperrtes Muster, erhielt er eine Warnung angezeigt und musste ein neues Muster eingeben.

Sperrliste mit 100 Mustern empfohlen

Die mittellange Liste mit 100 gesperrten Mustern identifizierten die Forscherinnen und Forscher als besten Kompromiss zwischen Sicherheit und Nutzbarkeit. Sie simulierten, wie leicht ein Angreifer ein Muster eines gestohlenen Handys erraten könnte. Ohne Sperrliste lagen die Erfolgschancen nach 30 Rate-Versuchen bei 23,7 Prozent. Die empfohlene Liste mit 100 gesperrten Mustern reduzierte die Erfolgschancen auf etwa 7,5 Prozent. Mit dieser Sperrliste brauchten Userinnen und User durchschnittlich 19 Sekunden, um ein nicht gesperrtes Muster auszusuchen. Zum Vergleich: In der Kontrollgruppe wurde ein Muster in 13 Sekunden gewählt.

„Eine Sperrliste mit 100 Einträgen würde die Sicherheit also schon deutlich erhöhen, aber den Nutzern nur wenig mehr Aufwand bei der Einrichtung bereiten“, resümiert Philipp Markert.

Veröffentlicht

Freitag
23. Juli 2021
07:58 Uhr

Teilen